Incorpora la plataforma de Google SecOps SOAR

En este documento, se proporciona una guía integral paso a paso para incorporar y configurar la plataforma de Google Security Operations SOAR. El proceso está estructurado para establecer el acceso de los usuarios, proteger la transferencia de datos, normalizar los datos, crear automatización y prepararse para las operaciones en vivo.

Antes de comenzar

Te recomendamos que primero realices la capacitación de nuestra ruta de aprendizaje de Google SIEM y SOAR.

Configura el acceso y los roles de los usuarios

Para comenzar, debes definir un rol y grupos de permisos. Si eres un MSSP, también debes configurar un entorno y asociarlo con usuarios nuevos. Si administras un entorno de multiusuario, también debes definir entornos. Si es necesario, también puedes aprovisionar usuarios para que accedan con un proveedor de SAML. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Administra roles y cargas de trabajo
• Administrar grupos de permisos
• Agrega un entorno nuevo (relevante principalmente para los MSSP)
• Cómo agregar un usuario nuevo a la plataforma
• Autentica usuarios con SSO (solo para SOAR)

Configura puntos de transferencia de datos con conectores o webhooks

Configura conectores o webhooks para transferir alertas y analizarlas. Esto también se puede lograr descargando un caso de uso completo. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Transfiere datos con conectores de SOAR
• Configura un webhook
• Ejecutar casos de uso
• Desarrolla tu primer conector de correo electrónico (para usuarios avanzados)

Asigna y modela los datos entrantes (ontología)

Controlar cómo se asignan y modelan los productos, los eventos y las entidades entrantes Esto garantiza que se capture y visualice la información correcta. Puedes definir esta configuración de la ontología por tu cuenta o elegir la configuración predeterminada de mapeo y modelado. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de la ontología
• Asigna relaciones de eventos de seguridad con familias visuales
• Crear entidades (asignación y modelado)

Crear y probar la automatización (guías)

Crea respuestas automatizadas con guías, que son conjuntos secuenciales de pasos manuales y automatizados que responden a las amenazas. Para obtener más información sobre los playbooks, consulta los siguientes documentos:

• Explora la página de guías
• Crea tu primera automatización
• Ejecuta casos de uso desde Marketplace
• Trabaja con el Simulador de guías

Analiza casos y alertas

Usa casos simulados y alertas de prueba para verificar la configuración. Una vez que se publique, analiza los casos y las alertas para determinar los pasos de clasificación o remediación. Para obtener instrucciones detalladas sobre cada una de estas tareas, consulta los siguientes documentos:

• Descripción general de casos
• Toma medidas en un caso
• Realiza acciones manuales
• Ver la pestaña de descripción general de la alerta
• Navega por la página del Explorador de entidades